EMURGO SecondFi бұзуынан зардап шеккендерге ақша қайтаруды жариялады: төлемдер екі аптадан кейін басталады
Бұрын Yoroi деп аталған SecondFi әмиянының айналасындағы жағдай анықтала бастады. EMURGO бас директоры Филлип Пон ресми түрде компания зардап шеккен пайдаланушыларға қаражатты қайтарудың техникалық шешімін тапқанын мәлімдеді. Оның айтуынша, төлемдерді шамамен екі аптадан кейін іске қосу жоспарлануда: бірінші апта команда қайтару механизмін әзірлеуге, ал екінші апта оны мұқият тестілеуге арналады.
Естеріңізге сала кетейін, эксплойт 374 мекенжайға әсер етіп, олардан шамамен 16 млн ADA шығарылған. Оқиға кезінде (21–23 маусым) бұл сома шамамен $2,4 млн деп бағаланған. Алайда, анықталғандай, бұл оқиғаның бір бөлігі ғана. Шабуыл кезінде зиянкестер үш кезеңде әрекет еткен, ал төртінші эпизодта SecondFi командасы активтерді оқшаулау үшін шамамен 129 млн ADA-ны төтенше жағдайда тәуелсіз кастодианға аударған. Бұл қаражат қазір сыртқы аудиторлық фирмамен тексерілуде.
Техникалық астары: nonce-ті қайта пайдалану емес, қолтаңба қатесі
Tibane Labs-тің тәуелсіз есебі ерекше назар аударуға тұрарлық. Бастапқы болжамдарға қарамастан, компанияның сарапшылары мәселенің түбірі nonce санын қайта пайдалануда емес, Ed25519 қолтаңбасындағы сыни қатеде жатыр деген қорытындыға келді. Олардың деректері бойынша, 8 маусымда тәуелсіз әзірлеуші npm-де жариялаған аудиттелмеген trantor SDK бұрын қолданылған EMURGO-ның тексерілген қолтаңба модулін ауыстырды. Бұл зиянкестерге жеке кілтті қалпына келтіру үшін бір ғана қол қойылған хабарлама жеткілікті болғанын білдіреді.
Айта кету керек, EMURGO әлі күнге дейін толық техникалық постмортемді жариялаған жоқ және Tibane Labs қорытындыларына жария түрде жауап бермеді. Бұл қауымдастықта сұрақтар туғызады, өйткені SecondFi (Yoroi) ұзақ уақыт бойы Cardano экожүйесіндегі негізгі әмияндардың бірі болып қалды, ал EMURGO-ның өзі желінің үш негізін қалаушы ұйымдарының бірі болып табылады.
Сақтық шаралары және ағымдағы статус
SecondFi пайдаланушыларды ресми нұсқаулықтарға дейін активтерді аудармауға қатты өтініш білдіреді және алаяқтық хабарламалар толқыны туралы ескертеді. Қызмет ешқашан жеке кілттерді, сид-фразаларды және әмияндарға кіруді сұрамайтынын атап көрсетеді. Қазіргі уақытта шабуылдаушылардың екі әмияны белгілі: бірі 171 бұзылған мекенжаймен, екіншісі 203-пен байланысты. Ұрлыққа қатысты шамамен 4 млн ADA белгіленген жинау мекенжайында орналасқан және бақылауда қалып отыр.
Бұл оқиға – тіпті жетілген экожүйелерде де қауіпсіздіктің қаншалықты осал болуы мүмкін екендігінің тағы бір ескертуі. SecondFi-дің бұзылуы 2026 жылдың екінші тоқсанындағы криптоиндустрияның антирекорды аясында орын алды: жалпы шығын $755,3 млн болатын 83 оқиға. Жеке өзім, EMURGO тарапынан ашық постмортемнің болмауы ADA ұстаушылар үшін маңызды сигнал деп санаймын. Инвесторлар оқиғалардың дамуын, әсіресе компанияның беделге осындай соққыдан кейін сенімді қалай қалпына келтіретінін мұқият қадағалауы керек.